Kryptering är ett av de viktigaste verktygen vi har för att säkra medborgarnas rätt till integritet och fri kommunikation. Därför är det inte förvånande att övervakningsivriga stater ständigt hamnar i konflikt med vår frihet att använda kryptering för att kommunicera privat. Den senaste frontlinjen i detta krig består i lagförslag på EU-nivå om att införa bakdörrar i kryptering.
Kryptokrigen, eller Crypto Wars, kallades den amerikanska statens försök under 90-talet att stoppa exporten av krypteringsteknik till andra länder. Staten klassificerade kryptering som ett vapen och förbjöd därmed både att exportera tekniken eller visa den för utländska civila. USA åtalade Phil Zimmerman, skapare av PGP, en populär teknik för att kryptera mail.
När USA till slut förstod att man inte praktiskt kunde stoppa spridningen av krypteringsteknik lade man fram ett krav om så kallade “Clipper chips” i alla mobiltelefoner. Dessa chip skulle innehålla en bakdörr till krypterad trafik. Efter kraftiga protester tog man tillbaka kravet och tillät kryptering.
NSA och allierade (däribland svenska FRA) bytte taktik och har sedan dess framför allt arbetat med att smyga in svagheter i vanliga krypteringsalgoritmer för att se till att vanliga människor inte får tillgång till fungerande kryptering.
Men nu är kryptokrigen tillbaka i full kraft – i Sverige, USA och många andra länder. Men även i EU har attackerna på kryptering kommit långt.
Under 2020 har policymaskinen i EU steg för steg närmat sig att förklara krig mot effektiv kryptering (end-to-end kryptering, det vill säga kryptering där bara den som skickar och tar emot meddelandet kan läsa det – inte den som förmedlar det). Här lägger vi ut tidslinjen.
1
>
Första steget togs i maj, då EU:s anti-terrorism-koordinator Gilles de Kerchove lade ut sin position gällande kryptering.
»de Kerchove kritiserar att tillverkare som Google introducerar kryptering utan att först be EU om tillstånd. Han kräver en ”laglig skyldighet för leverantörer” att ”arbeta tillsammans med statliga myndigheter på teknisk nivå” och diskutera deras kryptering tillsammans.«
Femte Juli-stiftelsens översättning
de Kerchove föreslog att Digital Services Act (DSA) skulle innehålla ett förbud mot effektiv kryptering genom krav på att alla nättjänster skulle kunna läsa sina användares kommunikation i klartext. Med andra ord, eftersom EU inte kan kräva en bakdörr i kryptering så vill De Kerchove bara kräva att företag som levererar nättjänster måste ha en bakdörr i sin kryptering. Samma nonsens-piruett som brukades under debatten om uppladdningsfilter (artikel 13/17) – där EU ”inte alls” krävde uppladdningsfilter, utan bara att plattformar skulle stoppa potentiellt illegala uppladdningar automatiskt.
de Kerchove använde ett annat nonsensargument: istället för bakdörrar i kryptering föreslår han ”frontdoors”. I en imponerande uppvisning av dubbeltänk (att tro på två motstridiga saker) skriver de Kerchove att bakdörrar inte kan stödjas eftersom de utgör ett generellt försvagande av kryptering, men att man istället ska använda ”frontdoors” för att kunna läsa krypterad information.
Solutions constituting a blanket weakening, banning or limiting of encryption, such as the creation of a so-called „backdoor“ (permanent access point) for LEAs should not be supported.
Gilles de Kerchove
Upon lawful request, issued or validated by a judiciary authority, companies that are providing encryption services should be able to provide data in readable format. (Hence, a Front-Door approach should be sought.)
En sista problematisk idé som de Kerchove framförde var att EU:s institutioner och medlemsstater aktivt ska försöka infiltrera internets olika standardorganisationer (t.ex. W3C eller IETF) för att påverka normer runt kryptering och cybersäkerhet. Citat: ”This is especially important with regard to evolving encryption of fundamental internet protocols.”
2
>
I juni höll den svenska kommissionären för inrikesfrågor, Ylva Johansson, ett föredrag på webinariumet ”Preventing and combating child sexual abuse [and] exploitation”. Då efterfrågade Ylva Johansson en teknisk lösning på – i hennes ord – ”problemet med kryptering”. Hon berättade att hon initierat samlandet av en grupp experter som skulle ta fram sätt att kunna upptäcka och avläsa krypterat barnpornografiskt material.
Rapporten som togs fram läcktes av Politico. Inte heller den här gången hade någon lyckats hitta ett sätt att kryptera information effektivt och samtidigt göra det möjligt för staten att avläsa informationen.
Det främsta förslaget som lades fram var så kallad ”client-side scanning”. Förslaget innebär att kommunikation som ska krypteras först läses av och antingen lagras lokalt, analyseras mot en hash-databas eller skickas till utvalda avlyssnare.
Unalterable computer code that runs on your own device, comparing in real-time the contents of your messages to an unauditable ban-list, stands directly opposed to the privacy assurances that the term “end-to-end encryption” is understood to convey.
EFF
Utöver att vara ett indirekt sätt att förbjuda effektiv kryptering så vore det ett nytt, drastiskt, steg för europeiska stater: att avgöra vilka program som är lagliga att använda för att kommunicera över internet och vilka som är illegala att använda.
Det vore potentiellt ett stort steg i det större slaget om fri kommunikation. Piratpartiet vill att utgångspunkten ska vara att människor ska vara fria att kommunicera hur och vad de vill och att deras datorer ska kunna köra vilka program deras ägare än vill. På andra sidan har vi aktörer som tvärtom vill att datorer bara ska kunna läsa den information som de har godkänt på förhand och att internet ska begränsas till godkända aktörer och godkända kommunikationssätt.
Helt enkelt: om vi ska ha internet eller ett glorifierat kabel-tv.
I det slaget kan vi inte vika en tum.
3
>
I september läckte Statewatch ett internt dokument från det tyska ordförandeskapet i EU: ”Security through encryption and security despite encryption”. Målet som sattes upp i dokumentet var att EU:s medlemsstater ska komma överens om en ny EU-gemensam position i fråga om kryptering. Detta ska ske innan 2020 tar slut, enligt dokumentet.
Dokumentet citerar det policydokument som anti-terror-koordinatorn Gilles de Kerchove hade publicerat tidigare under året och omfamnar konceptet om ”frontdoors”: ”a legal framework that would allow lawful access to encrypted data for law enforcement without dictating technical solutions for providers and technology companies”.
Det verkar alltså som att förslaget om att lagstiftning mot kryptering behövs vunnit gehör i EU:s ministerråd, även om man verkar ha flyttat ut frågan från Digital Services Act.
4
>
Ett liknande dokument cirkulerade enligt Financial Times hos EU-kommissionen, ungefär samtidigt.
“The objective here is to enable the intelligence community to track WhatsApp messages,”
Anonym källa inom EU-kommissionen till Financial Times
Nu har omfattningen av vilka som ska kunna läsa krypterad kommunikation vidgats från bara polisiära myndigheter som utreder barnpornografibrott, till en allmän möjlighet för underrättelsetjänster att kunna läsa krypterad kommunikation.
5
>
Ylva Johansson fortsatte under hösten att leda den offentliga delen av kampen mot kryptering. Hon lade fram förslaget att förbjuda kryptering med hänvisning till behovet av att kunna utreda barnpornografiska brott.
“Child sexual abuse and the distribution of such material on the Internet is a tremendous problem. Therefore, coordinated European action is necessary. That is why I am glad that the European Commission is looking into it.
Marcel Kolaja, tjeckisk EU-parlamentariker för Piratpartiet
However, what I find unacceptable is the attempt to undermine the privacy and confidentiality of communications. Additionally, the ability of citizens to control their own devices by using Free and Open Source technologies would be endangered.”
I en debatt i EU-parlamentet ställde vår parlamentariker Patrick Breyer henne mot väggen: hur kan hon föreslå att förbjuda effektiv kryptering?
Ylva Johansson vägrade svara på frågan och upprepade istället sitt mantra om att hon inte ”accepterar” någon motsättning mellan rätten till ett privatliv och möjligheten att utreda barnpornografibrott. Det spelar tydligen ingen roll för henne att hennes ”acceptans” av hur verkligheten faktiskt ser ut förändrar något: hennes krav är fortfarande omöjliga. Vi kan inte förena ett förbud mot effektiv kryptering med en rätt till privat kommunikation.
Oavsett vad Ylva Johansson accepterar eller tror.